日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
攻擊者失手,自己殺死了僵尸網(wǎng)絡(luò) KmsdBot

此前,Akamai 的安全研究員披露了 KmsdBot 僵尸網(wǎng)絡(luò),該僵尸網(wǎng)絡(luò)主要通過(guò) SSH 爆破與弱口令進(jìn)行傳播。在對(duì)該僵尸網(wǎng)絡(luò)的持續(xù)跟蹤中,研究人員發(fā)現(xiàn)了一些有趣的事情。

C&C 控制

對(duì)惡意活動(dòng)來(lái)說(shuō),最致命的就是奪取對(duì) C&C 服務(wù)器的控制。研究人員修改了 KmsdBot 的樣本文件,使其能夠在受控環(huán)境下進(jìn)行通信。

研究人員向惡意軟件發(fā)送自己的命令來(lái)測(cè)試 KmsdBot 僵尸網(wǎng)絡(luò)的功能與攻擊特征。有一天,在攻擊者發(fā)送一個(gè)格式不正確的命令后,惡意軟件就徹底崩潰。這種自殺式的行為在網(wǎng)絡(luò)安全界可不多見(jiàn),研究人員進(jìn)行了一番調(diào)查。

按圖索驥

研究人員通過(guò)檢查 sys.main.connect() 函數(shù)并輸出反匯編代碼,來(lái)確定存儲(chǔ) C&C 服務(wù)器的 IP 地址與端口的代碼。

sys.main.connect() 函數(shù)的反匯編

C&C 服務(wù)器的字符串存儲(chǔ)在內(nèi)存地址 0x00632f19,將其修改為受控環(huán)境的 IP 地址。就能夠像 C&C 服務(wù)器一樣發(fā)送攻擊指令。

改寫(xiě) C&C 服務(wù)器地址

改寫(xiě)后的 C&C 服務(wù)器是開(kāi)放端口 57388 的 192.168.0.31。在這臺(tái)主機(jī)上使用 Netcat 來(lái)模擬 C&C 服務(wù)器。

期間,發(fā)現(xiàn)僵尸網(wǎng)絡(luò)在收到攻擊者下發(fā)的格式錯(cuò)誤的指令后就停止運(yùn)行了。命令為:

!bigdata www.bitcoin.com443 / 30 3 3 100

可以看到域名與端口之間直接連接,且惡意軟件的代碼中也沒(méi)有內(nèi)置校驗(yàn)命令格式是否正確的功能。

格式錯(cuò)誤的命令將會(huì)導(dǎo)致 Go 語(yǔ)言開(kāi)發(fā)的二進(jìn)制文件直接由于“索引越界”而崩潰,錯(cuò)誤的格式產(chǎn)生參數(shù)數(shù)量的錯(cuò)誤。使用受控環(huán)境也能夠復(fù)現(xiàn)這一問(wèn)題:

復(fù)現(xiàn)重新發(fā)送格式錯(cuò)誤的指令

惡意軟件崩潰

格式錯(cuò)誤的命令會(huì)導(dǎo)致與 C&C 服務(wù)器通信的所有惡意軟件都崩潰,導(dǎo)致整個(gè)僵尸網(wǎng)絡(luò)終止運(yùn)行。由于該僵尸網(wǎng)絡(luò)并沒(méi)有任何持久化功能,唯一的方法就是重新構(gòu)建,無(wú)法直接恢復(fù)。

結(jié)論

在網(wǎng)絡(luò)安全領(lǐng)域很少聽(tīng)到此類情況,在這個(gè)被 0day 漏洞和各種告警折磨的精疲力竭的世界,如果由于攻擊者的失誤就能清除威脅也不失為一件好事。KmsdBot 僵尸網(wǎng)絡(luò)一直在攻擊大型的奢侈品公司與游戲公司,攻擊者以后可能會(huì)更加小心和注意。


本文題目:攻擊者失手,自己殺死了僵尸網(wǎng)絡(luò) KmsdBot
文章出自:http://www.dlmjj.cn/article/coopsis.html